Usunięcie antywirów i inne syfy

_j4 · 23 Sierpień 2007 09:39

Objawy: zawieszanie się i bardzo powolne reakcje komputera, usunięcie wszystkich programów antywirusowych oraz generalnie znikanie plików, minimalizowanie się gier, niemożność włączenia trybu awaryjnego ani przywrócenia systemu

Logfile of HijackThis v1.99.1 Scan saved at 11:30:17, on 2007-08-23 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe C:\WINDOWS\system32\DVDRAMSV.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nod32cc.exe C:\WINDOWS\system32\nod32m2.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe C:\WINDOWS\system32\ntvdm.exe C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Canon\CAL\CALMAIN.exe C:\Program Files\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) F3 - REG:win.ini: load=c:\SLOWNIK\watch.exe O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM…\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM…\Run: [Amon] “C:\Program Files\Eset\amon.exe” O4 - HKLM…\Run: [Nod32CC] “C:\WINDOWS\system32\nod32cc.exe” -DONTSHOW O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: &Search - http://kn.bar.need2find.com/KN/menusearch.html?p=KN O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} - O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda … 8701682109 O17 - HKLM\System\CCS\Services\Tcpip…{8D4B3AB3-BBF5-41A3-B2F3-D783A205B879}: NameServer = 195.114.173.153,195.116.55.69 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe (file missing) O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe (file missing) O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing) O23 - Service: NOD32 Control Center Service (NOD32ControlCenter) - Unknown owner - C:\WINDOWS\system32\nod32cc.exe" -service (file missing) O23 - Service: NOD32 Service (NOD32Service) - Unknown owner - C:\WINDOWS\system32\nod32m2.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: RPC Security - Unknown owner - C:\WINDOWS\svchost.exe (file missing) O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

Z góry dziękuję za pomoc.

jessica · 23 Sierpień 2007 10:19

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

>>Start >>> Uruchom >>> wybierz (lub wpisz) cmd >> zastosować te komendy (po każdej wciśnij “ENTER”):

Potem daj log z ComboFix (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.

jessi

_j4 · 23 Sierpień 2007 12:03

Dzięki.

http://wklej.org/id/81d06e3553

jessica · 23 Sierpień 2007 12:39

No tak, jest gorzej niż myślałam: trzy Rootkity + VUNDO.

Większość usunął ComboFix.

Wklej do Notatnika :

File::

C:\WINDOWS\system32\ddcyy.dll 

C:\WINDOWS\system32\trusted.exe 

C:\xlryki.exe 

C:\pjxxrskl.exe 

C:\wsusupd.exe 

C:\bnld.exe 

C:\WINDOWS\system32\byxutrs.dll

C:\WINDOWS\system32\drivers\srosa.sys

C:\WINDOWS\system32\drivers\hidr.exe


Folder::

C:\WINDOWS\exefnd 


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3320321D-7730-4EF8-A735-D30AA711624B}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8B3F8A93-933C-4DDA-B24C-AEB0697C132A}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C24D5F51-51A8-4CB6-A199-A5A6CB20C915}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{8B3F8A93-933C-4DDA-B24C-AEB0697C132A}"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxutrs]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcyy]

[-HKEY_LOCAL_MACHINE\system\ControlSet002\Services\srosa]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->http://i12.tinypic.com/4l761r5.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie.

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Rootkit Bagle-hidires uszkodził Tryb Awaryjny.

Potem daj nowy log z ComboFixa i napisz o sytuacji.

EDIT:

Ponieważ pisałeś, że masz także uszkodzone “Przywracanie Systemu”, więc na wszelki wypadek daj także log z Sillent Runner.

Tam, w kluczach z grupy “Policies”, będzie widać, czy rzeczywiście trzeba to zmienić.

Ja akurat na tym się nie znam , ale myślę, że znajdzie się tu ktoś, kto będzie wiedział, co w tych kluczach rejestru zmienić, by “przywracanie systemu” odzyskało swoją zwykłą funkcjonalność. Jeśli dobrze pamiętam, to trzeba w kluczu zmienić wartość Dword = 000001 na wartość Dword =000000…

jessi

_j4 · 23 Sierpień 2007 16:34

Tryb awaryjny naprawiłem drugim sposobem.

Komputer znacznie przyśpieszył.

Pierwszą rzeczą, jaką chciałem zrobić, była ponowna instalacja AntiVir Workstation - instalacja udana, reboot, po jakichś 10 sekundach od całkowitego załadowania systemu - bsod. I jeszcze raz, i jeszcze. W ciągu tych 10 sekund odpaliłem taskmgra i zatrzymałem procesy AV, później wywaliłem go z autostartu. Problem taki, że nadal nie mam antywirusa. ;\ Innych co prawda instalować jeszcze nie próbowałem.

Log z SilentRunners: http://wklej.org/id/80ad850a50

Log z ComboFixa dam za kilka minut.

Ponownie wielkie dzięki… Coś czuję, że niestety będę miał okazję do podziękowania jeszcze parę razy.

Gutek · 23 Sierpień 2007 16:40

Jest na pewno jeszcze folder do usunięcia

, ale czekamy na log z Combo

_j4 · 23 Sierpień 2007 16:44

http://wklej.org/id/099019022f

Gutek · 23 Sierpień 2007 16:58

Usuń C:\WINDOWS\Tasks\ {2D6FC728-C8D4-43B2-8CDB-842F91CC5712}_LAPT_ORTOP_Użytkownik.job

Pobierz program SDFix

_j4 · 23 Sierpień 2007 17:41

http://wklej.org/id/629ae8f2f6

jessica · 23 Sierpień 2007 18:16

A jednak SDFix jeszcze znalazł i usunął “śmiecia”!

Sprawdź, czy naprawdę nie ma tego pliku w folderze “system32”?

Jeśli nie ma, to skopiuj zapasowy, który powinien być w C:\WINDOWS\system32\dllcache do folderu “system32”.

W logu Sillenta nie było widać w kluczach, by “Przywracanie Systemu” było odłączone.

Jeśli jednak to dalej nie działa, to sprawdź ręcznie:

jessi

_j4 · 23 Sierpień 2007 19:10

Nie ma chkdsk.exe w system32… Ale… Eee, no, jakby to tu…

Nie mam takiego folderu.

Przywracanie systemu już działa, avast też. Innymi słowy - komputer sprawny. Jeszcze raz dziękuję.

jessica · 23 Sierpień 2007 19:21

Jak to nie ma takiego folderu?

Musi być, a zwłaszcza musi być ten plik “chkdsk.exe”.

“dllcache” może być ukryte.

Jeśli nie masz tego pliku, to musisz wgrać go z płytki instalacji systemu!

jessi

_j4 · 23 Sierpień 2007 19:27

Eee, fakt że folder istnieje, musiałem wcześniej źle adres wpisać. chkdsk.exe nie widać.

A nie da się jakoś go podmienić? To jest laptop z pracy ojca, zanim ja bym się dorwał do płytki instalacyjnej miną tygodnie, o ile nie miesiące.

jessica · 23 Sierpień 2007 19:42

Ten plik powinien być jako zapasowy w “dllcache”, więc go wystarczy skopiować do folderu “system32”.

Jeśli nie ma w “dllcache”, to pozostaje doinstalować z płytki.

jessi